Divisão de Serviços de Informações da Justiça Criminal (CJIS, na sigla em inglês) dos EUA
A Divisão de Serviços de Informações da Justiça Criminal (CJIS, na sigla em inglês) do Departamento Federal de Investigação (FBI, na sigla em inglês) dos EUA fornece aos órgãos federais, estaduais e locais instruções sobre como proteger as informações da justiça criminal (CJI) ao usar provedores de serviços em nuvem (CSPs, na sigla em inglês), como o Google Cloud.
O Google Cloud oferece controles de segurança para proteger e armazenar as CJI com o Assured Workloads para o Google Cloud e o Assured Controls para o Google Workspace. Os órgãos de cumprimento da lei podem obedecer à política de segurança da CJIS implementando esses controles para os serviços do Google Cloud em escopo.
Conformidade com a CJIS do Google
O Escritório do Programa CJIS do FBI publicou vários artefatos que fornecem orientação específica sobre como proteger as CJI. O documento principal é a Política de segurança da CJIS do FBI, que detalha um conjunto mínimo de requisitos de segurança que precisam ser atendidos para proteger as CJI.
O FBI também fornece um mapeamento de requisitos da CJIS para os controles de segurança encontrados na revisão 4 do NIST SP 800-53.
Todos os serviços do Google Cloud compatíveis com a CJIS podem atender aos requisitos necessários para proteger as CJI. O Google também recebeu atestados de um avaliador terceirizado e independente que confirmou a compliance com os controles do NIST 800-53 incluídos no mapeamento do FBI.
Entre em contato com a equipe de vendas do Google Cloud usando nosso formulário de contato para saber mais sobre a conformidade da CJIS com o Google.
Recursos da CJIS do Google
Os serviços com escopo da CJIS disponibilizados por meio das Assured Workloads e dos Assured Controls implementam controles de segurança da CJIS e permitem que os clientes usem os recursos do Google Cloud e do Google Workspace para atender às necessidades da empresa.
As agências de aplicação da lei e os órgãos de justiça criminal e estaduais, municipais e federais (e seus prestadores de serviços) podem usar esses serviços para:
- definir proteções para restringir cargas de trabalho da CJIS aos EUA;
- restringir a equipe de suporte técnico a residentes dos EUA e avaliados pelo Google e pela agência CJIS estadual;
- aplicar a criptografia em conformidade com o FIPS-140-2 em repouso e em trânsito,
- usar chaves de criptografia gerenciadas pelo cliente (CMEK);
- implemente controles de acesso de pessoal;
- aplicar restrições de conformidade do desenvolvedor e segmentação lógica para atender aos requisitos da CJIS e muito mais.
Embora todos os funcionários do Google Cloud nos Estados Unidos estejam sujeitos à investigação de histórico para contratação do Google, o Google reconhece a confidencialidade dos dados das CJI. É por isso que o Google Cloud trabalha com os clientes para restringir o suporte técnico aos funcionários dos EUA que tenham concluído as investigações de histórico para contratação do FBI e as investigações criminais exigidas pela Política de Segurança da CJIS.
Os estados também podem fornecer um processo próprio de investigação de histórico para contratação para manter os clientes no controle de quem pode oferecer suporte às CJI.
Atualizações importantes na Política de segurança da CJIS v5.9.1 e v5.9.2
O FBI atualizou a política de segurança da CJIS de 5.9.0 para 5.9.2 no final de 2022. As alterações podem ser visualizadas no documento complementar de requisitos, publicado pelo FBI.
A política mais recente contém atualizações significativas em algumas áreas. Especificamente, as orientações relacionadas à proteção de mídia, triagem de pessoal, gerenciamento de identidade e acesso, conscientização e treinamento e integridade do sistema e da informação foram atualizadas e agora estão mais relacionadas ao NIST 800- 53 controles.
Há também alguns equívocos conhecidos em relação a essas mudanças. O Apêndice G.3, que estava presente nas versões anteriores da política, especifica no Cenário 2 que, quando às CJI for descriptografada no ambiente de um CSP, qualquer equipe administrativa que pode acessar o ambiente precisa estar "sujeita a treinamento de conscientização sobre segurança e controles de segurança de pessoal, conforme descrito na Política de Segurança da CJIS". Isso é válido mesmo quando a agência CJIS mantém o controle das chaves de criptografia.
Para oferecer proteção total aos clientes, o Google usa chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês) e controles de segurança de pessoal para restringir o acesso das CJI aos residentes dos EUA localizados nos EUA que foram autorizados e atendem aos requisitos da Política de segurança da CJIS.